公开(公告)号：CN104753726A

公开(公告)日：2015-07-01

申请号：CN201310727363.0

申请日：2013-12-25

Applicant: 任子行网络技术股份有限公司

Inventor： 刘永强 ,  吕恩泳 ,  唐新民 ,  沈智杰 ,  景晓军

IPC: H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种串行数据流的审计控制方法，包括以下步骤：S1.接收网络数据包并对所述网络数据包进行解析以获取所述网络数据包的多元组信息；并将所述网络数据包以及所述网络数据包的多元组信息发送给流控制表；S2.判断所述流控制表是否命中所述网络数据包的多元组信息，并返回所述流控制表的动作号；S3.根据所述流控制表的动作号将所述网络数据包分配到数据桶中对应的子桶；S4.所述数据桶中对应的子桶对所述网络数据包执行相应的操作，实施该方法，提高审计系统的网络吞吐量，兼顾了串行审计系统转发效率和审计灵活性，实现了审计系统的高速数据转发；本发明还公开了一种串行数据流的审计控制系统。

公开(公告)号：CN111147391B

公开(公告)日：2023-04-07

申请号：CN201911237285.X

申请日：2019-12-05

Applicant: 深圳市任子行科技开发有限公司 ,  任子行网络技术股份有限公司

Inventor： 吕恩泳 ,  程海龙 ,  张宇 ,  刘永强 ,  沈智杰 ,  景晓军

IPC: H04L47/125 ,  H04L61/5007

Abstract: 本发明公开了一种DPDK用户态与linux内核网络协议栈之间的数据传输方法及系统，方法包括：利用DPDK的KNI模块为每个物理网口创建与其绑定的N个虚拟网口，为每一个虚拟网口单独绑定一个内核线程，利用linux系统命令以轮询的方式创建bond口，将N个虚拟网口绑定到同一个bond口；DPDK通过物理网口收到网络数据包后，将接收到的数据包通过KNI接口轮询的方式分配到与所述物理网口绑定的N个虚拟网口；内核协议栈将处理后的需要发送到bond口的数据包，按照轮询的方式发送到bond口的N个虚拟网口上，DPDK通过KNI接口从各个虚拟网口上读取数据包之后再发送到物理网口上；如此，本发明负载均衡，达到linux内核直接驱动网卡，突破了性能瓶颈，提高数据包出入内核的性能。

公开(公告)号：CN104753726B

公开(公告)日：2018-04-20

申请号：CN201310727363.0

申请日：2013-12-25

Applicant: 任子行网络技术股份有限公司

Inventor： 刘永强 ,  吕恩泳 ,  唐新民 ,  沈智杰 ,  景晓军

IPC: H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种串行数据流的审计控制方法，包括以下步骤：S1、接收网络数据包并对所述网络数据包进行解析以获取所述网络数据包的多元组信息；并将所述网络数据包以及所述网络数据包的多元组信息发送给流控制表；S2、判断所述流控制表是否命中所述网络数据包的多元组信息，并返回所述流控制表的动作号；S3、根据所述流控制表的动作号将所述网络数据包分配到数据桶中对应的子桶；S4、所述数据桶中对应的子桶对所述网络数据包执行相应的操作，实施该方法，提高审计系统的网络吞吐量，兼顾了串行审计系统转发效率和审计灵活性，实现了审计系统的高速数据转发；本发明还公开了一种串行数据流的审计控制系统。

公开(公告)号：CN104320351A

公开(公告)日：2015-01-28

申请号：CN201410603601.1

申请日：2014-10-27

Applicant: 任子行网络技术股份有限公司

Inventor： 刘永强 ,  吕恩泳 ,  沈智杰 ,  景晓军 ,  唐新民

IPC: H04L12/801 ,  H04L12/863

Abstract: 本发明涉及软件流控技术领域，尤其涉及一种基于零拷贝和Linux内核的软件流控方法及其系统。方法包括：用零拷贝方式获取网卡上的数据包；判断数据包是否需要流控；如果数据包需要流控，则将数据包打上流控队列号标记；将打上流控队列号标记的数据包发送到Linux内核的虚拟网卡上；将接收到的打上流控队列号标记的数据包转换为内核打上标记后的数据包；对该数据包进行流量控制，以产生流控后的数据包。本发明提供的基于零拷贝和Linux内核的软件流控方法及其系统，结合了零拷贝和Linux内核TC流控各自的优点，采用虚拟网卡的方式连接内核和零拷贝机制，解决了转发性能和流控之间的矛盾，实现了大流量下高效的流量控制。

公开(公告)号：CN111147391A

公开(公告)日：2020-05-12

申请号：CN201911237285.X

申请日：2019-12-05

Applicant: 深圳市任子行科技开发有限公司 ,  任子行网络技术股份有限公司

Inventor： 吕恩泳 ,  程海龙 ,  张宇 ,  刘永强 ,  沈智杰 ,  景晓军

IPC: H04L12/803 ,  H04L29/12

Abstract: 本发明公开了一种DPDK用户态与linux内核网络协议栈之间的数据传输方法及系统，方法包括：利用DPDK的KNI模块为每个物理网口创建与其绑定的N个虚拟网口，为每一个虚拟网口单独绑定一个内核线程，利用linux系统命令以轮询的方式创建bond口，将N个虚拟网口绑定到同一个bond口；DPDK通过物理网口收到网络数据包后，将接收到的数据包通过KNI接口轮询的方式分配到与所述物理网口绑定的N个虚拟网口；内核协议栈将处理后的需要发送到bond口的数据包，按照轮询的方式发送到bond口的N个虚拟网口上，DPDK通过KNI接口从各个虚拟网口上读取数据包之后再发送到物理网口上；如此，本发明负载均衡，达到linux内核直接驱动网卡，突破了性能瓶颈，提高数据包出入内核的性能。

公开(公告)号：CN109617833A

公开(公告)日：2019-04-12

申请号：CN201811596976.4

申请日：2018-12-25

Applicant: 深圳市任子行科技开发有限公司 ,  任子行网络技术股份有限公司

Inventor： 吕恩泳 ,  程海龙 ,  刘永强 ,  沈智杰 ,  景晓军

IPC: H04L12/863 ,  H04L29/08 ,  H04L29/06 ,  H04L29/12 ,  G06F9/48

Abstract: 本发明公开了一种用于多线程用户态网络协议栈系统的NAT数据审计方法，包括：分别在M个线程中添加M个队列，其中，M为多线程用户态网络协议栈系统流处理的线程个数；将数据流的上行数据包加入该数据流的上行数据所在线程中标号为P的队列中，将下行数据包加入该数据流的下行数据所在线程中标号为P的队列中；将各个线程的N号队列的数据进行出队列操作后送入线程N；将各个线程的数据送入审计模块进行审计。由此，解决了多线程网络协议栈对于NAT数据流分布在不同线程与审计需要数据流分布在同一个线程中的冲突，同时利用队列实现了无锁的方式将处于不同线程中的数据流上下行数据包归到同一个线程中，且零拷贝的方式入队列不影响系统性能。

公开(公告)号：CN104363115A

公开(公告)日：2015-02-18

申请号：CN201410598932.0

申请日：2014-10-30

Applicant: 任子行网络技术股份有限公司

Inventor： 刘永强 ,  吕恩泳 ,  沈智杰 ,  景晓军 ,  唐新民

IPC: H04L12/24

Abstract: 本发明实施例提供了一种DPI无锁流状态管理方法及系统，在流处理线程有数据流需要处理时，所述流处理线程从流状态信息表中查找所述数据流对应的流信息；在查找时，若流信息为不对应所述数据流的流信息时，则流处理线程对所述流信息进行超时处理。在没有流数据需要处理时，流处理线程也会触发一个极短的超时处理过程，进行超时处理。这样就使得使得DPI系统无需使用额外的数据流管理线程来对流状态信息表进行超时处理，也不用频繁的加锁和解锁，大大的提高系统的性能。

公开(公告)号：CN111064775A

公开(公告)日：2020-04-24

申请号：CN201911236572.9

申请日：2019-12-05

Applicant: 深圳市任子行科技开发有限公司 ,  任子行网络技术股份有限公司

Inventor： 吕恩泳 ,  程海龙 ,  张宇 ,  刘永强 ,  沈智杰 ,  景晓军

IPC: H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种旁路部署模式下针对HTTPS协议进行portal认证的方法及系统，该方法包括：当旁路监听到用户端发送的DNS请求时，返回IP地址为系统的IP地址的DNS欺骗响应至用户端；接收用户端发送的HTTPS请求，将HTTPS请求重定向到HTTP请求，并将HTTP请求反馈至用户端；接收用户端发送的HTTP请求，并返回重定向到portal服务器的统一资源定位符的指令至用户端，以供用户端将HTTP请求发送至portal服务器进行portal认证。通过本发明，利用DNS欺骗的方式使用户端的访问地址为本系统地址，从而将用户端发送的HTTPS请求重定向为HTTP请求，以供用户端基于HTTP请求进行portal认证，解决了现有技术中旁路模式下无法对基于HTTPS协议的请求进行portal认证的技术问题。

公开(公告)号：CN106572121B

公开(公告)日：2019-07-12

申请号：CN201611006032.8

申请日：2016-11-15

Applicant: 任子行网络技术股份有限公司

Inventor： 沈智杰 ,  吕恩泳 ,  程海龙 ,  刘永强 ,  景晓军

IPC: H04L29/06 ,  H04L12/46

Abstract: 本发明公开了一种VPN数据的审计方法和装置。所述方法包括：获取VPN服务器与目标网站之间传输的第一数据包；解析第一数据包，并获取第一数据包中的用户上网行为信息和用户VPN虚拟IP；获取VPN服务器与用户认证服务器之间传输的第二数据包；解析第二数据包，并获取第二数据包中的用户VPN虚拟IP与用户真实IP之间的对应关系；审计用户真实IP对应的用户上网行为信息，获取用户真实IP下的审计结果。本发明提供的VPN数据的审计方法可以有效的对VPN数据进行审计，得到用户真实IP下的审计结果，解决了现有技术中无法对加密的VPN数据进行审计的问题。

公开(公告)号：CN109617833B

公开(公告)日：2021-12-31

申请号：CN201811596976.4

申请日：2018-12-25

Applicant: 深圳市任子行科技开发有限公司 ,  任子行网络技术股份有限公司

Inventor： 吕恩泳 ,  程海龙 ,  刘永强 ,  沈智杰 ,  景晓军

IPC: H04L12/863 ,  H04L29/08 ,  H04L29/06 ,  H04L29/12 ,  G06F9/48

Abstract: 本发明公开了一种用于多线程用户态网络协议栈系统的NAT数据审计方法，包括：分别在M个线程中添加M个队列，其中，M为多线程用户态网络协议栈系统流处理的线程个数；将数据流的上行数据包加入该数据流的上行数据所在线程中标号为P的队列中，将下行数据包加入该数据流的下行数据所在线程中标号为P的队列中；将各个线程的N号队列的数据进行出队列操作后送入线程N；将各个线程的数据送入审计模块进行审计。由此，解决了多线程网络协议栈对于NAT数据流分布在不同线程与审计需要数据流分布在同一个线程中的冲突，同时利用队列实现了无锁的方式将处于不同线程中的数据流上下行数据包归到同一个线程中，且零拷贝的方式入队列不影响系统性能。